Se avete ricevuto un messaggio “strano” su Skype con un collegamento a Baidu o LinkedIn e di recente, non siete i soli. Nella ultime due settimane, sono diversi gli utenti ad aver lamentato di aver ricevuto link di spam a Baidu. E tutti sono rimasti sorpresi nel constatare che i propri account erano stati violati, sebbene alcuni credevano di essere protetti dall’autenticazione Microsoft.
Un thread sul forum di supporto di Skype rivela quello che sta succedendo a centinaia di utenti Skype, almeno dal mese di agosto. Gli account in questione vengono violati e utilizzati per inviare migliaia di messaggi spam prima che vengano bloccati e richiedano nuovamente l’accesso. Skype è caduto nella trappola di attacchi simili già in passato e gli hacker sono stati in grado di falsificare i messaggi sul sistema l’anno scorso, dopo l’utilizzo di liste di nomi utente e password rubate per ottenere l’accesso agli account.
“Alcuni clienti Skype hanno segnalato che i propri account erano stati utilizzati per inviare spam”, dice un portavoce Microsoft in una dichiarazione. “Non vi è alcuna violazione della sicurezza di Skype. Invece, riteniamo che i criminali utilizzino combinazioni di username e password ottenuti illegalmente per vedere se esistono su Skype. Si continuano ad adottare misure per rendere più arduo il processo di login e raccomandare ai clienti di aggiornare il loro account Skype a un account Microsoft, beneficiando di protezioni aggiuntive come l’autenticazione a due fattori“.
L’attacco di quest’anno sembra essere in crescita in termini di dimensioni e gli utenti Skype potrebbero pensare di essere protetti dalla sicurezza a due fattori di Microsoft, quando in realtà non lo sono. Microsoft, infatti, offre la possibilità di collegare un account Skype e Microsoft per eseguire l’accesso e renderlo più facile. Se già abilitato alcuni mesi fa, si scopre che Microsoft ha mantenuto separata la password originale dell’account Skype
in modo che possa ancora essere utilizzato per accedere al servizio con un nome utente Skype. Se tale password non è sicura o è stato utilizzato altrove, gli hacker possono utilizzarla per ottenere l’accesso a Skype, bypassando qualsiasi autenticazione a due fattori fornito da Microsoft.E’ una situazione bizzarra che evidenzia le sfide di Microsoft per integrare Skype. Redmond ha dovuto “rattoppare” un difetto importante che ha lasciato scoperti molti account Skype, attaccati già in passato. Si è trattato di una falla di sicurezza imbarazzante che ha avuto come effetto una drastica diminuzione di fiducia nel servizio. La capacità di bypassare l’autenticazione a due fattori di Microsoft è ancora un altro punto sulla sicurezza di Skype da arginare.
Nonostante questa falla lampante, Microsoft dispone di una correzione. Se si dispone già di un account Skype collegato a Microsoft, allora si avrà bisogno di “aggiornarlo” per assicurarsi che sia completamente fuso, andando sulla pagina dell’account di Microsoft. Ecco i passaggi:
Una volta che i due account sono collegati, Microsoft crea un alias Skype che consente di mantenere l’accesso con un nome utente Skype. È possibile continuare a utilizzare questo alias o disattivarlo sotto alcune “preferenze alias“, al fine di garantire che nessuno possa provare ad accedere con il proprio nome utente Skype. In entrambi i casi, non si sarà più in grado di utilizzare la vecchia password di Skype e i malintenzionati dovranno conoscere l’indirizzo e-mail associato all’account.
L’intero processo sembra disordinato, ma sembra essere il modo migliore per proteggere l’account Microsoft.